Jeton d'authentification basée sur les Web API sans interface utilisateur

Je suis en train d'élaborer une API REST en ASP.Net l'API Web. Mon API sera uniquement accessible via un navigateur basé clients. J'ai besoin de mettre en œuvre la sécurité de mon API, donc j'ai décidé d'aller avec un Jeton d'authentification. J'ai une juste compréhension de base de jetons d'authentification et d'avoir lu quelques tutoriels, mais ils ont tous de l'interface utilisateur pour la connexion. Je n'ai pas besoin de l'INTERFACE utilisateur pour la connexion, comme les informations de connexion seront transmis par le client via HTTP POST qui sera autorisé à partir de notre base de données. Comment puis-je mettre en œuvre jeton d'authentification basée dans mon API? Veuillez noter que mon API sera accessible dans les hautes fréquences, donc j'ai aussi besoin de prendre soin de la performance.
S'il vous plaît laissez-moi savoir si je peux l'expliquer mieux.

  • quelqu'un, quelque part aurait du mettre le nom d'utilisateur et un mot de passe afin de faire de la validation initiale; suggérez-vous que toute personne qui obtient une copie de votre application va utiliser le même nom d'utilisateur et le mot de passe? et si c'est le cas, avez-vous l'intention de coder en dur le nom d'utilisateur et le mot de passe dans votre code?
  • Je peux avoir plusieurs utilisateurs enregistrés, de sorte que les premiers détails de connexion sera passé par eux via HTTP POST. La prochaine c'est quoi?
  • qui n'a pas de sens. comment pouvez-vous serveur de transmettre des informations d'identification de votre client? comment le serveur est censé connaître le client qui est qui?
  • Vous devrez par programme d'authentifier et de transmission des informations d'identification de votre service d'Authentification dans votre manière préférée qui ne nécessite pas d'interface utilisateur, qui va vous passer de retour d'un jeton. Vous pouvez ensuite utiliser ce jeton pour faire des appels comme vous le feriez habituellement.
  • Désolé pour la confusion. L'idée est d'avoir les clients de transmettre les informations de connexion et mon API générer un jeton. Est-ce faisable? S'il vous plaît laissez-moi savoir si il y a une autre approche.
  • encore une fois, comment les clients de passer des informations de connexion si vous ne présentez pas un formulaire de connexion?
  • Pensez à ceci: Habituellement, ils ont de se connecter et de soumettre le formulaire. Dans mon cas, les clients auront le post, les informations de connexion au format JSON. J'ai créé un .Net application console. C'messages JSON à l'aide de HttpClient qui frappe mon contrôleur. Voici un lien semblable, mais il ne m'aide pas- stackoverflow.com/questions/19724082/...
  • bon, alors c'est toujours pas clair quelle est votre question? Vous avez demandé comment faire de l'authentification sans interface utilisateur, mais maintenant vous êtes en décrivant une interface utilisateur dans votre client?
  • si vous avez des exemples qui montrent à l'aide d'une INTERFACE utilisateur spécifique, mais vous avez déjà un autre de l'INTERFACE utilisateur à la place de votre client, vous devez simplement être en mesure de s'assurer que votre INTERFACE utilisateur fournit les mêmes informations à l'API, comme l'un des exemples, et tout le reste devrait fonctionner de la même manière.

InformationsquelleAutor Souvik Ghosh | 2016-07-29
  1. 75

    Je pense qu'il y a une certaine confusion à propos de la différence entre MVC et Web Api. En bref, pour MVC, vous pouvez utiliser un formulaire de connexion et de créer une session à l'aide des cookies. Pour le Web Api de session n'existe pas. C'est pourquoi vous voulez à utiliser le jeton.

    Vous n'avez pas besoin d'un formulaire de connexion. Le Jeton d'extrémité est tout ce dont vous avez besoin. Comme Win décrit vous pourrez envoyer les informations d'identification pour le jeton d'extrémité, où il est traité.

    Voici quelques côté client code C# pour obtenir un jeton:

        //using System;
    //using System.Collections.Generic;
    //using System.Net;
    //using System.Net.Http;
    //string token = GetToken("https://localhost:<port>/", userName, password);

    static string GetToken(string url, string userName, string password) {
        var pairs = new List<KeyValuePair<string, string>>
                    {
                        new KeyValuePair<string, string>( "grant_type", "password" ), 
                        new KeyValuePair<string, string>( "username", userName ), 
                        new KeyValuePair<string, string> ( "Password", password )
                    };
        var content = new FormUrlEncodedContent(pairs);
        ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true;
        using (var client = new HttpClient()) {
            var response = client.PostAsync(url + "Token", content).Result;
            return response.Content.ReadAsStringAsync().Result;
        }
    }

    Afin d'utiliser le jeton de l'ajouter à l'en-tête de la demande:

        //using System;
    //using System.Collections.Generic;
    //using System.Net;
    //using System.Net.Http;
    //var result = CallApi("https://localhost:<port>/something", token);

    static string CallApi(string url, string token) {
        ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true;
        using (var client = new HttpClient()) {
            if (!string.IsNullOrWhiteSpace(token)) {
                var t = JsonConvert.DeserializeObject<Token>(token);

                client.DefaultRequestHeaders.Clear();
                client.DefaultRequestHeaders.Add("Authorization", "Bearer " + t.access_token);
            }
            var response = client.GetAsync(url).Result;
            return response.Content.ReadAsStringAsync().Result;
        }
    }

    Où le Jeton est:

    //using Newtonsoft.Json;

class Token
{
    public string access_token { get; set; }
    public string token_type { get; set; }
    public int expires_in { get; set; }
    public string userName { get; set; }
    [JsonProperty(".issued")]
    public string issued { get; set; }
    [JsonProperty(".expires")]
    public string expires { get; set; }
}

    Maintenant pour le côté serveur:

    En Démarrage.Auth.cs

            var oAuthOptions = new OAuthAuthorizationServerOptions
        {
            TokenEndpointPath = new PathString("/Token"),
            Provider = new ApplicationOAuthProvider("self"),
            AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
            //https
            AllowInsecureHttp = false
        };
        //Enable the application to use bearer tokens to authenticate users
        app.UseOAuthBearerTokens(oAuthOptions);

    Et dans ApplicationOAuthProvider.cs le code que vous accorde ou refuse l'accès:

    //using Microsoft.AspNet.Identity.Owin;
//using Microsoft.Owin.Security;
//using Microsoft.Owin.Security.OAuth;
//using System;
//using System.Collections.Generic;
//using System.Security.Claims;
//using System.Threading.Tasks;
public class ApplicationOAuthProvider : OAuthAuthorizationServerProvider
{
private readonly string _publicClientId;
public ApplicationOAuthProvider(string publicClientId)
{
if (publicClientId == null)
throw new ArgumentNullException("publicClientId");
_publicClientId = publicClientId;
}
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
var user = await userManager.FindAsync(context.UserName, context.Password);
if (user == null)
{
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
}
ClaimsIdentity oAuthIdentity = await user.GenerateUserIdentityAsync(userManager);
var propertyDictionary = new Dictionary<string, string> { { "userName", user.UserName } };
var properties = new AuthenticationProperties(propertyDictionary);
AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
//Token is validated.
context.Validated(ticket);
}
public override Task TokenEndpoint(OAuthTokenEndpointContext context)
{
foreach (KeyValuePair<string, string> property in context.Properties.Dictionary)
{
context.AdditionalResponseParameters.Add(property.Key, property.Value);
}
return Task.FromResult<object>(null);
}
public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
//Resource owner password credentials does not provide a client ID.
if (context.ClientId == null)
context.Validated();
return Task.FromResult<object>(null);
}
public override Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
{
if (context.ClientId == _publicClientId)
{
var expectedRootUri = new Uri(context.Request.Uri, "/");
if (expectedRootUri.AbsoluteUri == context.RedirectUri)
context.Validated();
}
return Task.FromResult<object>(null);
}
}

    Comme vous pouvez le voir il n'y a pas de contrôleur à suivre pour récupérer le jeton. En fait, vous pouvez supprimer tous MVC références si vous voulez une Api Web seulement. J'ai simplifié le code côté serveur pour le rendre plus lisible. Vous pouvez ajouter du code à la mise à niveau de la sécurité.

    Assurez-vous que vous utilisez SSL uniquement. Mettre en œuvre les RequireHttpsAttribute à la force de cette.

    Vous pouvez utiliser l'Autoriser /AllowAnonymous attributs pour sécuriser votre site Web Api. En outre, vous pouvez ajouter des filtres (comme RequireHttpsAttribute) pour faire de votre Api Web plus sécurisé. J'espère que cette aide.

    • u dit "pour MVC, vous pouvez utiliser un formulaire de connexion et de créer une session à l'aide des cookies. Pour le Web Api de session n'existe pas", mais le formulaire d'authentification peuvent être mises en œuvre dans l'api web. donc, le client peut envoyer les informations d'identification de l'api web et web api question auth cookie au client. pour tout appel ultérieur client doit passer auth cookie web api......je suppose que cela est possible.
    • la cueillette de votre code comme suit. new KeyValuePair<string, string>( "grant_type", "password" ), new KeyValuePair<string, string>( "username", userName ), new KeyValuePair<string, string> ( "Password", password ) ce qui signifie grant_type=password ? quelle autre option, nous pouvons utiliser avec grant_type instead of password ? merci de partager les connaissances. merci
    • Ces valeurs font partie de l'OAuth 2.0. En particulier, tools.ietf.org/html/rfc6749. Un bon résumé de spécifications peut être trouvé ici: docs.identityserver.io/en/release/intro/specs.html
    • mais comment le vérifier avec ce jeton dans le prochain processus? signifie que nous magasin jeton dans une base de données ou pas? une fois la connexion réussie, comment entretenir jeton?
    • Comment cela peut-il être configuré comme un sous-site, où sa mère est à l'aide de l'authentification windows
    • Il semble que beaucoup de travail juste pour produire un jeton d'authentification. Argh
    • "Au Démarrage.Auth.cs", dans la zone grise, le code est écrit, je peux le coller à l'intérieur de crochets de classe? certainement pas. Pouvez-vous nous parler de ce que doit être le nom de la méthode XYZ si ça? C'est là que je suis stick droit maintenant.
    • Comme documentée

    InformationsquelleAutor Ruard van Elburg
  2. 19

    ASP.Net l'API Web a le Serveur d'Autorisation de construire-dans déjà. Vous pouvez voir à l'intérieur de Démarrage.cs lorsque vous créez un nouveau ASP.Net Application Web avec l'API Web de modèle.

    OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/Token"),
Provider = new ApplicationOAuthProvider(PublicClientId),
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
//In production mode set AllowInsecureHttp = false
AllowInsecureHttp = true
};

    Tout ce que vous avez à faire est de poster l'URL encodée nom d'utilisateur et le mot de passe à l'intérieur de la chaîne de requête. 

    /Token/userName=johndoe%40example.com&password=1234&grant_type=password

    Si vous voulez connaître plus de détails, vous pouvez regarder
    Enregistrement de l'utilisateur et de Connexion Angulaire de l'Avant vers l'Arrière avec l'API Web par Deborah Kurata.

    • Je vais donc créer une requête POST /JETON avec le nom d'utilisateur et mot de passe dans l'en-Tête HTTP/Corps? J'aurai nom d'utilisateur et le mot de passe haché pour tous les utilisateurs de mon application de base de données. Comment devrais-je mettre en œuvre cette?
    • Vous avez besoin ASP.Net Identité (je crois que vous en avez déjà un). Sinon, créez un ASP.Net l'API Web de projet et de voir le code source.
    • qu'est-ce que grant_type=mot de passe ? merci de partager les connaissances. merci
    • Je pense que mettre un nom d'utilisateur et mot de passe dans la chaîne de requête est une mauvaise MAUVAISE MAUVAISE idée.
    • est OAuth 2.0 - Ressource Mot de passe du Propriétaire des informations d'Identification de Type de Subvention. Il n'est pas quelque chose que nous voyons dans la barre du navigateur.
    InformationsquelleAutor Win